){kind=link}
A Microsoft anunciou a desarticulação de uma operação criminosa de assinatura de malware como serviço (MSaaS, na sigla em inglês). O grupo Fox Tempest explorava o sistema Artifact Signing da própria Microsoft para gerar certificados digitais fraudulentos. Isso permitia que cibercriminosos disfarçassem ransomware e outros malwares como software legítimo.
A operação atingiu milhares de máquinas e redes em todo o mundo, considerando que o Fox Tempest estava ativo desde maio de 2025. A ação da Microsoft, batizada de OpFauxSign, apreendeu o site “signspace[.]cloud”, usado pelo grupo, além de desativar centenas de máquinas virtuais que sustentavam a operação. O acesso a um repositório no GitHub que hospedava o código da infraestrutura também foi bloqueado.
smart_display
Nossos vídeos em destaque
Como funcionava o esquema
O Fox Tempest vendia a capacidade de criar assinaturas digitais fraudulentas para outros criminosos. Basicamente, o serviço permitia que malwares passassem por software confiável aos olhos de sistemas de segurança.
O grupo explorava o Artifact Signing da Microsoft, sistema projetado para verificar que um software é legítimo e não foi adulterado. O Fox Tempest conseguia gerar certificados de curta duração, válidos por apenas 72 horas.
Para obter os certificados, o grupo precisava passar por processos rigorosos de validação de identidade. A Microsoft avalia que o Fox Tempest usou identidades roubadas de pessoas dos Estados Unidos e do Canadá, o que permitiu que o grupo se passasse por entidades legítimas.
)
O serviço operava através do site signspace[.]cloud. Clientes criminosos podiam fazer upload de arquivos maliciosos para serem assinados usando certificados controlados pelo Fox Tempest. O malware então se disfarçava como programas conhecidos como AnyDesk, Microsoft Teams, PuTTY e Cisco Webex.
Preços e modelo de negócio
O serviço custava entre US$ 5 mil e US$ 9 mil, cerca de 25 mil a 45 mil reais em conversão direta. Criminosos preenchiam um formulário no Google Forms, escrito em inglês e russo, para escolher um plano – quem pagava mais recebia prioridade na fila de acesso.
O Fox Tempest também mantinha um canal no Telegram chamado “EV Certs for Sale by SamCodeSign”. O usuário responsável era arbadakarba2000. Ali o grupo se comunicava diretamente com clientes.
A Microsoft revogou mais de mil certificados atribuídos ao Fox Tempest, mesmo assim, o grupo continuou se adaptando.
)
Mudança para máquinas virtuais
Em fevereiro de 2026, o Fox Tempest mudou a estratégia operacional. O grupo começou a fornecer máquinas virtuais pré-configuradas hospedadas na Cloudzy, um provedor americano de servidores virtuais.
Os criminosos faziam upload dos arquivos maliciosos diretamente nos ambientes controlados pelo Fox Tempest, e em seguida, recebiam de volta os binários assinados. Isso reduziu o atrito para clientes e melhorou a segurança operacional do grupo.
)
Dentro das VMs, o Fox Tempest fornecia arquivos necessários para a assinatura. Um deles era o “metadata.json”, que apontava para um endpoint hospedado no Azure. Outro era um script PowerShell usado para assinar os arquivos dos clientes.
Conexão com ransomware Rhysida
O serviço habilitou a distribuição do ransomware Rhysida por grupos como o Vanilla Tempest, que começou a usar o MSaaS do Fox Tempest em junho de 2025.
O Vanilla Tempest distribuía instaladores falsos do Microsoft Teams assinados pelo Fox Tempest, com os arquivos sendo espalhados através de anúncios legítimos comprados pelo grupo. Usuários que buscavam o Microsoft Teams eram redirecionados para páginas de download fraudulentas.
)
As vítimas baixavam um arquivo “MSTeamsSetup.exe” malicioso. A execução resultava na instalação do backdoor Oyster, também chamado Broomstick. Esse malware estabelece acesso remoto persistente e permite a entrega de payloads adicionais. Em alguns casos, o Vanilla Tempest também instalou o ransomware Rhysida.
Outros malwares e alvos
A Microsoft identificou que o Fox Tempest habilitou a distribuição de outros malwares, incluindo o Lumma Stealer e o Vidar. A empresa também encontrou ligações do grupo com afiliados de várias famílias de ransomware como INC, Qilin, Akira e BlackByte.
Os ataques atingiram setores de saúde, educação, governo e serviços financeiros nos Estados Unidos, França, Índia e China.
)
Análises de criptomoedas associadas ao Fox Tempest mostram lucros na casa dos milhões. A Microsoft avalia que o grupo é bem estruturado porque gerencia criação de infraestrutura, relacionamento com clientes e transações financeiras.
A Microsoft informou que o Fox Tempest continua tentando se adaptar. O grupo busca migrar operações e clientes para outro serviço de assinatura de código. A empresa afirmou que vai manter a pressão sobre o grupo e parceiros do setor.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.